A. Tổng quan về khóa học Cross-Site Scripting (XSS)
Trong khóa học này, bạn sẽ được phát triển các kỹ năng cần thiết để thực hiện và chống lại thành công các cuộc tấn công Cross-Site Scripting (XSS). XSS là một trong 10 loại tấn công ứng dụng web nguy hiểm và phổ biến nhất theo cả OWASP và CWE. Tôi đã dành nhiều tháng để tạo và thu thập các tài nguyên tốt nhất về XSS và đưa chúng vào khóa học này để bạn có thể học Cross-Site Scripting một cách thú vị, hiệu quả và thực tế.
Để thực sự hiểu cách thức hoạt động của XSS và cách phòng thủ, bạn phải thực hành bằng cách thực hiện các cuộc tấn công vào các vulnerable application và sau đó xem xét các phiên bản an toàn của cùng một code, và đó chính xác là những gì bạn sẽ làm trong khóa học này.
Chúng tôi bắt đầu bằng cách giải thích các khái niệm về XSS và 3 loại chính của nó: Reflected, Stored (Persistent) và DOM-based. Sau đó, chúng tôi xem xét các case study về các lỗ hổng XSS thực tế gần đây trên Facebook, Gmail, Twitter, Tesla, Airbnb và TikTok.
Tiếp theo, chúng tôi thiết lập một môi trường lab để thực hiện cả 3 loại tấn công bằng cả phương pháp thủ công và tự động. Sau đó, chúng tôi thiết lập, cấu hình và sử dụng một browser exploitation framework mạnh mẽ có tên là BeEF để cung cấp một payload có thể đánh lừa các unsuspecting browser. Từ đó, bạn có thể khởi chạy một số cuộc tấn công khác nhau bằng các BeEF command module (ví dụ: scanning internal networks, defacing websites, compromising routers, v.v.).
Tiếp theo, chúng ta áp dụng tất cả những gì đã học để pentest OWASP Juice Shop, bắt đầu bằng việc thu thập thông tin và sau đó khai thác cả 3 loại XSS. Cuối cùng, chúng ta kết thúc khóa học bằng cách thảo luận về các biện pháp phòng thủ hiệu quả nhất (và kém hiệu quả nhất), bao gồm các quy tắc, cheat sheet và các kỹ thuật recommended code review để bảo vệ ứng dụng của bạn khỏi mối đe dọa nguy hiểm này.
Nếu bạn đang tìm kiếm một phương pháp thực hành để học Cross-Site Scripting, thì đây chính là khóa học dành cho bạn!
B. Nội dung khóa học Cross-Site Scripting (XSS)
B.1. Các chủ đề được đề cập:
✓ Tìm hiểu Cross-Site Scripting (XSS) là gì và cách thức hoạt động của nó.
✓ Tìm hiểu 3 loại tấn công XSS chính.
✓ Nghiên cứu các trường hợp thực tế gần đây về các lỗ hổng XSS trên Facebook, Gmail, Twitter, Tesla, Airbnb và TikTok.
✓ Học thực hành bằng cách thực hiện các cuộc tấn công vào các môi trường lab.
✓ Học cách sử dụng OWASP ZAP làm proxy của bạn (Burp cũng có thể được sử dụng thay thế).
✓ Tìm hiểu về filter và defense evasion bằng cách xem xét nhiều case study và tạo các payload.
✓ Tìm hiểu cách sử dụng browser exploitation framework mạnh mẽ có tên là BeEF để kết nối các trình duyệt và khởi chạy lệnh từ xa.
✓ Tìm hiểu các biện pháp kiểm soát và quy tắc phòng thủ để chống lại 3 loại XSS chính.
B.2. Điều kiện tiên quyết được đề xuất:
✓ Kinh nghiệm làm việc với các ứng dụng web.
✓ Kinh nghiệm làm việc với JavaScript.
B.3. Mục lục khóa học Cross-Site Scripting (XSS):
✓ 01. Bắt đầu.
✓ 02. Cross-Site Scripting (XSS) là gì?
✓ 03. Tạo môi trường Lab của bạn.
✓ 04. Reflected XSS.
✓ 05. Stored (Persistent) XSS.
✓ 06. DOM-based XSS.
✓ 07. postMessage XSS.
✓ 08. Blind XSS.
✓ 09. Sử dụng BeEF.
✓ 10. Attacking một web application (OWASP Juice Shop).
✓ 11. Defending Against XSS.
✓ 12. Kết luận và các tài nguyên bổ sung.
C. Hướng dẫn tải xuống khóa Học Cross-Site Scripting (XSS)
Mọi hướng dẫn về khóa học này được admin viết hướng dẫn tại Group Facebook, trong mục ĐÁNG CHÚ Ý (bài ghim). Các bạn tham gia nhóm và để lại gmail để nhận khóa học nhé! Link nhóm tại đây:
>>>HƯỚNG DẪN TRUY CẬP VÀ DOWNLOAD KHÓA HỌC TẠI ĐÂY
D. LƯU Ý QUAN TRỌNG
Tất cả khóa học Hỗ Trợ Ôn Tập cung cấp tới các bạn đều được sưu tầm từ hàng trăm nguồn khác nhau và được biên soạn một cách kĩ càng.
Chúng tôi tin rằng những khóa học này sẽ giúp các bạn có một nguồn tài nguyên vô cùng phong phú, đủ mọi chủ để để có thể học tập, tham khảo!
Do tài nguyên được lưu trữ trực tuyến với khối lượng vô cùng lớn nên nhiều khi bạn đọc có thể gặp sự cố nhỏ nào đó; vì vậy các bạn nên tạo 1 bản sao khóa mình cần về Drive của mình để lưu trữ và học tập dễ dàng hơn nhé!
**Tuyên bố về vấn đề bản quyền (Copyright Disclaimer)
Chúng tôi chỉ tổng hợp các khóa học có sẵn trên mang và không lưu trữ bất kì dữ liệu khóa học nào trên máy chủ, hosting của chúng tôi
Nếu xảy ra tranh chấp về quyền tác giả, vui lòng liên hệ với trang chia sẻ khóa học đó để được giải đáp với vấn đề bản quyền.
Nếu các bạn chứng mình được bản quyền của sản phẩm và muốn yêu cầu gỡ bài, vui lòng liên hệ với chúng tôi, chúng tôi sẽ xóa nội dung ngay lập tức.
Leave a Reply